工信部约谈新浪微博 中国互联网巨头该好好重视信息安全了


来源:移动支付网    作者:伟辰    2020-3-25 11:20

今日,工信部官网消息,工信部网络安全管理局就新浪微博用户查询接口被恶意调用导致App数据泄露问题对新浪微博相关负责人进行了问询约谈。

要求其按照《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规要求,对照工信部等四部门制定的《App违法违规收集使用个人信息行为认定方法》,进一步采取有效措施,消除数据安全隐患。

网络安全管理局提出了四点要求:

尽快完善隐私政策,规范用户个人信息收集使用行为;

加强用户信息分类分级保护,强化用户查询接口风险控制等安全保护策略;

加强企业内部数据安全管理,定期及新业务上线前要开展数据安全合规性自评估,及时防范数据安全风险;

在发生重大数据安全事件时,及时告知用户并向主管部门报告。

事情发展始末

3月19日,微博网友安全_云舒转发了一条微博,掀起了一场关于“微博数据泄露”的讨论。云舒称很多人手机号码泄露了,根据微博账号可以查到手机号。

该微博已被删除

新浪微博迅速做出了回应。新浪微博表示,或许产生了数据泄露,但是泄露的数据仅限于用户昵称,不涉及身份证、密码,这些信息可能是黑客通过其他手段从其他平台得到,对微博服务没有影响,目前已及时强化安全策略。

新浪微博回应

此事引起了社会各界的关注,媒体争相报道。有用户向媒体表示,在暗网上可以买到包括姓名、邮箱、地址、手机号、微博账号、密码等8项信息,还有人可以买到自己的微博账号老密码、身份证号、车牌号、贴吧绑定的账号、绑定的QQ号等信息。

泄露的数据究竟来自于哪里无法准确考证,新浪微博是不是真的非常安全也无法直接测试。目前主流舆论认为新浪微博被黑客大规模入侵的可能性不大,此次事件发生的原因可能“撞库”或者“漏水”。

撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。

漏水则是指企业某些非核心业务团队规模小,没有按照统一规范流程搭建业务,因此出现风险,比如没有做好关键数据隔离、没有做好权限分层管控、没有做好数据加密存储等。

随后,新浪微博因为此事件被工信部网络安全管理局问询约谈,也就有了文章开头的四个要求。

互联网巨头该紧张起来了

据了解,2019年新浪微博净营收17.7亿美元,月活跃用户达到5.16亿,日活跃用户达2.22亿。虽然和腾讯、阿里相比用户数量多有不如,但是在国内还是不折不扣的互联网巨头。

或许新浪微博真的没有发生数据泄露,但这并不意味着新浪微博一点错都没有。

网络安全管理局的四个要求就指出了新浪微博的错误:隐私政策不完善、用户个人信息收集使用不规范、用户信息分类分级保护不全面、用户查询接口风险控制不到位、没有定期开展数据安全合规性自评估、发生重大数据安全事件时,未及时告知用户并向主管部门报告。

在互联网草莽时代,监管可能会对巨头束手无策,这样的情况可能约谈结束就结束了。但随着《网络安全法》、《电信和互联网用户个人信息保护规定》、《信息安全技术个人信息安全规范》等法律规范的出台,互联网行业规则已经改写。

中国互联网巨头们该警醒了!

今天会因为隐私政策不完善、用户信息分类分级保护不全面被约谈,以后也有可能因为同样的问题被行政处罚,甚至有可能因为同样的问题锒铛入狱。等到《个人信息保护法》、《数据安全法》、《数据安全管理条例》等法律规范全面出台,监管只会越来越严格。

巨头的体量或许能让监管有所顾忌,但绝对不会受到优待,甚至会被重点监管,因为巨头拥有最多的数据,而且拥有的数据最有价值,可能造成的危害会更大。

除了监管之外,来自外部的攻击更需要被重视。对于互联网巨头来说,由于资金充实、技术能力强大,还有多年的积累,来自外部的攻击往往显得不痛不痒,但这不是可以不重视的理由。

由这起事件来说,无论是“撞库”还是“漏水”,很明显都没有得到应有的重视,没有用户得到风险提示,企业也没有做出改变,直至事情爆发。最后的结果就是现在这样,新浪微博虽然没有蒙受重大财务损失,但是名誉绝对是遭受了巨大损失,在监管层还挂了名,欲哭无泪。

合规是为了更好地发展

如前文所说,我国个人信息安全监管越来越严格,而且将来还会更加严格。在严监管的趋势下,很多机构、企业觉得不舒服、觉得被拘束了,觉得自己受到了伤害。这些机构、企业都没有认识到监管的价值。

互联网企业是服务行业,用户是最重要的一部分,甚至可以说用户是互联网企业存在的根基,没有任何用户会喜欢欺骗他、偷他东西的服务者。监管存在得价值就是帮助互联网企业不要走歪路,不要走岔路。

时代已经变了,企业需要转变思想,合规不是为了不被处罚,不是为了迎合监管,而是为了不被用户唾弃,是为了更好的发展。

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。
相关文章

月点击排行
关于本站    联系我们    版权声明    手机版
Copyright © 2011-2020 移动支付网    粤ICP备11061396号     粤公网安备 44030602000994号